Kategori: Meddelande

Abittis servicesavbrott tar längre än planerat. Nättjänsten oma.abitti.fi, som används för att skapa och bedöma prov, kommer eventuellt att vara ur drift imorgon den 29.12.2022.

Vi beklagar det förlängda avbrottet!

Abitti undergår service onsdagen den 28.12.2022. Webbtjänsten abitti.fi, som används för att skapa provuppgifter och bedöma provprestationer är ur bruk. Avbrottet räcker eventuuellt hela arbetsdagen.

De prov som skapats och laddats ned innan avbrottet kan hållas, men provprestationerna kan laddas upp först då avbrottet är över.

Följande Abittiversion ges ut i början av januari. Denna version kommer att motsvara den Abittiverson som används i studentexamen våren 2023.

Abittistödet önskar alla en god jul och ett gott nytt år!

Abitti-versionen som publicerades i slutet av oktober åtgärdade allvarliga datasäkerhetsluckor.

Den allvarligaste sårbarheten fanns i provlokalens server. Sårbarheten gjorde det möjligt att modifiera och ladda ner och uppgifter från provlokalens server (till exempel examinandens personuppgifter, provprestationerna och säkerhetskopior av filer som sparats av examinanden).

En annan åtgärdad sårbarhet var en bunt liknande metoder som möjliggjorde examinanden att få administratorrättigheter till sin egen dator. Dessutom var versionsnumret på licensavtalet i examinandens dator felaktigt.

Datasäkerhetsluckorna har funnits i alla studentexamensprov som hittills arrangerats. Studentexamensnämnden har inte uppgifter om huruvida sårbarheterna har utnyttjats vid studentexamen.

Studentexamensnämnden rekommenderar arrangörer av övningsprov med hjälp av Abitti-systemet att omedelbart uppdatera till säkra versioner:

• Åtgärdade versioner av examinandens datorer: 2243K, 2244B, 22451
• Åtgärdade versioner av provlokalens server: 22436, 2244T, 2245K

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Vid HackDay-evenemanget gjordes även andra datasäkerhetsfynd gällande Abitti, som kommer att rapporteras senare.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Ladda ner och redigera godtyckliga filer

Den allvarligaste sårbarheten tillåter tillägg, ändring och nedladdning av filer från provlokalens server. Attacken ska utföras från en dator ansluten till det lokala provnätverket, till exempel från examinandens egen dator. Missbruket kräver inloggning på provlokalens server.

Attacken är baserad på otillräcklig sanering av indata i gränssnittet som används för att säkerhetskopiera filerna som skapats av examinanden under provet.

Sårbarhetsklassifiering: CVSS: 8,8 (högt)

2. Köra godtyckliga kommandon med root-privilegier

Sårbarheten möjliggör exekvering av godtyckliga kommandon på examinandens egen dator med root-användarrättigheter. Attacken baseras på mekanismen i Abitti-provsystemet, som kan användas för att uppdatera filerna på examinandens dator i samband med provfilerna. Uppdateringsmekanismen extraherar filerna till en tillfällig katalog på examinandens dator före installering. En vältajmad attack ersätter filerna med angriparens filer, som är installerade i provmiljön med root-privilegier.

Attacken är endast möjlig i prov som innehåller ett paket som uppdaterar examinandens dator. Allvarlighetsgraden av observationen vid studentexamen minskas av den tekniska övervakningen av examinandens dator.

Sårbarhetsklassifiering: CVSS-poäng: 2,0 (lågt)

3. Felaktig version av användarvillkorsavtalet

När provdeltagaren loggade in visades fel versionsnummer 1.3 av licensavtalet, då rätt versionsnummer skulle ha varit 1.4.

Det egentliga versionsnumret i det läsbara licensavtalet har varit korrekt (1.4) och själva avtalstexten har motsvarat versionen på webbplatsen Abitti.fi (1.4).

Sårbarhetsklassifiering: GDPR-överträdelse

Möjligheten att ladda ner MEB-prov som skapats med den gamla proveditorn upphör i dag den 10.10.2022.

Det gamla provformatet har varit i bruk sedan 2015, men de sista studentproven gjordes med det hösten 2019.

Bertta-editorn för det nya MEX-provformatet, har varit i bruk i Abitti sedan början av 2022. Under höstterminen har de allra flesta Abitti-proven skapats med MEX-formatet.

Provformat som används i Abitti-prov 2022. Gult = prov i MEB-format, blått = prov automatiskt konverterade från MEB-format till MEX-format, rött = prov i MEX-format.

Mer information:

• Abitti denna höst: det gamla provformatet tas ur bruk och pinnarna uppdateras (1.9.2022)
• Bertta har vunnit stor popularitet (28.3.2022)

Denna höst genomgår Abitti den största förändringen hittills i sin historia. MEB-provformatet, också känt som JSON-formatet, som lanserades då Abitti kom ut år 2015 tas ur bruk på serverpinnarna. Detta innebär att prov som konstruerats i det gamla MEB-formatet inte längre kan hållas.

SEN slutar stöda stödet för MEB-formatet i Abitti eftersom det inte på åratal längre har använts i studentexamensproven. Det är numera lätt att konstruera prov i det nya MEX-formatet då Bertta-editorn är klar.

MEB-formatet tas ur bruk enligt följande:

• 10.10.2022: det är inte längre möjligt att ladda upp MEB-prov på provlokalens server från webbtjänsten oma.abitti.
• Oktober-november: en ny version av Abitti ges ut. MEB-prov fungerar inte i denna version.
• 30.11.2022: Bedömning av MEB-prov är inte längre möjlig.
• Tidigast 28.2.2023: provprestationskopiorna för MEB-proven tas bort.
• Tidigast 1.6.2023: MEB-proveditorn tas ur bruk.

Nedan beskrivs närmare hur förändringarna fortskrider.

10.10.2022: Det är inte längre möjligt att ladda upp MEB-prov på provlokalens server från webbtjänsten oma.abitti

MEB-prov kan inte längre laddas upp och föras över till provlokalens server med knappen ”Ladda provuppgifter”.

MEB-proven finns kvar på listan över prov, och enskilda uppgifter kan kopieras från proven till nya MEX-prov som görs upp med editorn Bertta. Eftersom programkodspråket för MEB-proven tillåter mycket är det möjligt att alla uppgifter inte går att kopiera perfekt. I vissa uppgifter kan det finnas så krångliga HTML-koder att de inte går att kopiera över huvudtaget. I sådana fall är det enda alternativet att kopiera uppgifterna ”för hand” via klippbordet.

De gamla studentexamensproven i MEB-format i webbtjänsten Examina är fortfarande tillgängliga och kan föras in i Abitti. Egna prov i MEB-formatet kan flyttas (knappen ”Exportera prov (.zip)” i provlistan) och laddas upp (”För in prov (.zip)).

Med andra ord är det alltså fortfarande möjligt att hämta in gamla studentexamensprov eller prov som gjorts av t.ex. förläggare i MEB-formatet och kopiera uppgifter ur dem i editorn Bertta.

Oktober-november: en ny version av Abitti ges ut

I den Abittiversion som ges ut efter höstens studentexamensprov kan MEB-prov inte längre laddas. Versionen är en s.k. stor uppdatering, eftersom Debian GNU/Linux, som ligger bakom Abitti, uppdateras till en nyare version.

Programmen som finns att tillgå kommer fortfarande att vara som tidigare, och versionen som erbjuds kommer också i de flesta fallen att vara densamma. Den största förändringen gäller LibreOffice, som uppdateras från version 6 till version 7. Enligt vad vi känner till kommer inga förändringar som påverkar användandet att ske då det gäller räknarprogrammen.

Nya versioner av Linuxkerneln kommer att finnas med i den nya versionen av Abitti, vilket inverkar på maskinkompatibiliteten. Detta underlättar förhoppningsvis användningen av Abitti på nyare datorer.

Den nya versionen av Abitti kommer att användas i studentexamensproven våren 2023.

30.11.2022: Bedömning av MEB-prov är inte längre möjlig

Ända fram till denna tidpunkt har det varit möjligt att hålla MEB-prov med hjälp av de Abitti-pinnar som gavs ut i augusti och MEB-provpaket som laddats ned före den 10 oktober. Från och med slutet av november kan provprestationer från prov i MEB-format inte längre returneras till webbtjänsten oma.abitti för bedömning och MEB-prov kan inte heller bedömas i tjänsten.

Tidigast 28.2.2023: provprestationskopiorna för MEB-proven tas bort

Studerandena kan inte längre öppna länkarna till bedömda MEB-prov som de fått per e-post.

Tidigast 1.6.2023: MEB-proveditorn tas ur bruk

Ända fram till denna tidpunkt har det varit möjligt att bearbeta gamla MEB-prov med den gamla MEB-proveditorn, men nu är det inte längre möjligt att konstruera och bearbeta MEB-prov.

Beslut har inte ännu fattats gällande när det inte längre kommer att vara möjligt att hämta in nya MEB-prov i Abitti med knappen ”För in prov (.zip)” eller när alla prov i MEB-format avlägsnas ur Abitti.

Läs mer:

• Urbruktagandet av MEB-formatet är den största förändringen i Abittis historia

För ett år sedan avslutade vi distributionen av AbittiUSB-programmet som används för skrivningen av de USB-minnen som används i Abitti. Innan dess hade vi i åratal rekommenderat balenaEtcher-programmet för att skriva minnespinnarna. Den är enkel att använda, öppen källkod och tillgänglig för flera olika operativsystem – allt som allt så bra att underhållet av SEN:s egen AbittiUSB kändes som ett slöseri av skattepengar.

Användningen av AbittiUSB upphörde slutgiltigt 20.6.2022. Programmet får inte längre information om nya versioner från SEN:s server.

Vi höll på att glömma skrivningen av minnena 2014

I slutet av 2014 var det bråttom med SEN:s digitala projekt. Vårt mål var att öppna provsystemet avsett för övningsbruk till gymnasierna i januari 2015. Fokus låg på editorn som behövs för redigeringen av provuppgifterna och bedömningstjänsten som används för att bedöma provprestationerna, men under ett vardagligt lunchsamtal började vi fundera på hur man skriver USB-minnen.

Hittills var det tänkt att gymnasierna skulle ladda upp skivavbilderna och skriva dem på USB-minnet med tidstypiska redskap som Win32 Disk Imager som fortfarande delas ut. Vid lunchbordet blev vi oroliga för att det skulle vara klumpigt att skriva ett minne i taget. Dessutom behövde användaren se till att skivavbilden laddades och att dess felfrihet blev kontrollerad.

Dåligt genomförande av en bra idé

Som alltid verkade lösningen enkel: Man skriver ett program som laddar ner en skivavbild, kontrollerar dess riktighet automatiskt och samtidigt skriver en skivavbild på alla USB-minnespinnar som är anslutna till datorn.

Den första versionen av lösningen uppstod som ”tjänstemannaarbete”. MEB-DD var skrivet på VBScript och FreePascal. Användargränssnittet hade skapats med Windows HTA, dvs. en webbläsarbaserad applikation.

Utvecklingsteamets ansiktsuttryck var sevärda när MEB-DD presenterades för dem. I ett gott samförstånd konstaterades att konceptet var bra, men inte genomförandet. Utvecklingen av studentexamensregistret fördröjdes för att hinna färdigställa en fungerande och underhållsduglig applikation till publiceringen av Abitti.

AbittiUSB:s kurvor i uppgång

AbittiUSB publicerades tillsammans med Abitti i januari 2015. Vi på SEN var mycket nervösa inför publiceringen och mottagandet av Abitti. Vi ville naturligtvis veta om Abitti fungerar, men samtidigt sprida ett positivt budskap om hur ibruktagandet framskrider.

AbittiUSB gav oss information om antalet skrivna minnespinnar. Dessa siffror följdes med hårt öga på den skärm som monterats på väggen i teamrummet. På första sidan på webbplatsen Abitti.fi pysslade vi ihop grafer som visade antalet skrivna minnespinnar och ordnade prov. Graferna var kumulativa för att säkerställa ett positivt budskap.

I slutet av våren kopierades redan så många minnespinnar att det inte längre var meningsfullt att visa graferna.

USB-monster föddes hösten 2016

Till en början planerade vi att de minnespinnar som används i studentproven skulle köpas som en tjänst av ett företag i branschen. Vi besökte några företag i branschen som stolt presenterade apparater som kopierade några tiotals minnespinnar åt gången. De kopierade filerna från Windows FAT-formaterade minnespinnar till målpinnarna. Inte precis vad vi ville.

Efter besöken bestämde vi oss för att ändra planerna. Skrivandet av USB-minnena var en så central del för att studentexamensproven skulle lyckas att vi behövde göra det själv. För kopieringen skaffades bordsmaskiner med USB 3.1-styrkort och USB-hubbar med metallstomme.

Till en början var det meningen att minnena skulle skrivas med AbittiUSB. Snart upptäckte vi att den tidens Windows inte klarade av att skriva tiotals USB-minnen samtidigt. Däremot var försöken med Linux uppmuntrande. På en dator kunde man skriva över 60 USB-minnespinnar samtidigt.

Från och med hösten 2016 har minnespinnarna för alla studentprov skrivits med USB-monsterprogrammet, som är öppen källkod. Det fungerar endast i Linux och användargränssnittet är vackert uttryckt ”professionellt”.

I åratal har SEN:s minnespinnemästare vänligt men bestämt avvisat alla utvecklingsförslag, eftersom hen anser att USB-monster gör precis vad som krävs: skriver tiotusentals minnespinnar så snabbt som möjligt.

Öppen källkod

Alla program som används för att skriva minnespinnarna är nu öppen källkod, efter att källkoden för AbittiUSB också publicerades i juni 2022 eftersom den är befriad från aktiv tjänst.

Lättast tar man i bruk USB-monster genom att installera Linux-serverinstallationen skriptad av SEN på datorn.